Freigeben über

Konfigurieren der rollenbasierten Zugriffssteuerung

  • Artikel

Hinweis

Azure HDInsight on AKS wird am 31. Januar 2025 eingestellt. Vor dem 31. Januar 2025 müssen Sie Ihre Workloads zu Microsoft Fabric oder einem gleichwertigen Azure-Produkt migrieren, um eine abruptes Beendigung Ihrer Workloads zu vermeiden. Die verbleibenden Cluster in Ihrem Abonnement werden beendet und vom Host entfernt.

Bis zum Einstellungsdatum ist nur grundlegende Unterstützung verfügbar.

Wichtig

Diese Funktion steht derzeit als Vorschau zur Verfügung. Die zusätzlichen Nutzungsbedingungen für Microsoft Azure-Vorschauen enthalten weitere rechtliche Bestimmungen, die für Azure-Features in Betaversionen, in Vorschauversionen oder anderen Versionen gelten, die noch nicht allgemein verfügbar gemacht wurden. Informationen zu dieser spezifischen Vorschau finden Sie unter Informationen zur Vorschau von Azure HDInsight on AKS. Bei Fragen oder Funktionsvorschlägen senden Sie eine Anfrage an AskHDInsight mit den entsprechenden Details, und folgen Sie uns für weitere Updates in der Azure HDInsight-Community.

In diesem Artikel wird beschrieben, wie Sie rollenbasierte Zugriffssteuerung bereitstellen und Benutzer automatisch Apache Superset-Rollen zuweisen. Mit dieser rollenbasierten Zugriffssteuerung können Sie Benutzergruppen in Microsoft Entra ID verwalten, aber Zugriffsberechtigungen in Superset konfigurieren. Wenn Sie z. B. über eine Sicherheitsgruppe namens datateam verfügen, können Sie die Mitgliedschaft dieser Gruppe an „Superset“ weitergeben, was bedeutet, dass Superset automatisch den Zugriff verweigern kann, wenn ein Benutzer aus dieser Sicherheitsgruppe entfernt wird.

  1. Erstellen Sie eine Rolle, die den Zugriff auf Superset verbietet.

    Erstellen Sie eine NoAccess-Rolle in Superset, die verhindert, dass Benutzer Abfragen oder Vorgänge ausführen. Diese Rolle ist die Standardrolle, der Benutzer zugewiesen werden, wenn sie keiner anderen Gruppe angehören.

    1. Wählen Sie in Superset die Option „Einstellungen“ (oben rechts) und dann „Rollen auflisten“ aus.

    2. Wählen Sie das Pluszeichen aus, um eine neue Rolle hinzuzufügen.

    3. Geben Sie die folgenden Details für die neue Rolle an. Name: NoAccess-Berechtigungen: [can this form get on UserInfoEditView]

    4. Wählen Sie „Speichern“ aus.

  2. Konfigurieren Sie Superset so, dass es Rollen automatisch zuweist.

    Ersetzen Sie den automatic registration of users-Abschnitt im Helmdiagramm durch das folgende Beispiel:

        # **** Automatic registration of users
    # Map Authlib roles to superset roles
    # Will allow user self-registration, allowing to create Flask users from Authorized User
    AUTH_USER_REGISTRATION = True
    # The default user self-registration role
    AUTH_USER_REGISTRATION_ROLE = "NoAccess"
    AUTH_ROLES_SYNC_AT_LOGIN = True
    # The role names here are the roles that are auto created by Superset.
    # You may have different requirements.
    AUTH_ROLES_MAPPING = {
      "Alpha": ["Admin"],
      "Public": ["Public"],
      "Alpha": ["Alpha"],
      "Gamma": ["Gamma"],
      "granter": ["granter"],
      "sqllab": ["sql_lab"],
    }
    # **** End automatic registration of users

Erneutes Bereitstellen von Superset

helm repo update
helm upgrade --install --values values.yaml superset superset/superset

  1. Ändern einer Microsoft Entra-App-Registrierung.

    Suchen Sie in der Microsoft Entra-ID nach Ihrer Anwendung und wählen Sie Ihre App unter der Überschrift „App-Registrierung“ aus. Bearbeiten Sie die Rollen Ihrer App-Registrierung, indem Sie im linken Navigationsbereich „App-Rollen“ auswählen und alle Superset-Rollen hinzufügen, die Sie verwenden möchten. Es wird empfohlen, mindestens die Rollen „Administrator“ und „Öffentlich“ hinzuzufügen.

    Wert Anzeigenname Beschreibung Zulässige Mitgliedstypen
    Admin Admin Superset-Administrator Benutzer/Gruppen
    Öffentlich Öffentlich Superset-Benutzer Benutzer/Gruppen

    Beispiel:

    Screenshot mit Rollenzuweisungen in Microsoft Entra-App-Rollen.

  2. Weisen Sie Benutzerrollen in der Enterprise-App-Registrierung zu.

    1. Suchen Sie ihre Anwendung erneut in der Microsoft Entra-ID, aber wählen Sie diesmal Ihre Anwendung unter der Überschrift „Unternehmensanwendungen“ aus.

    2. Wählen Sie in der linken Navigationsleiste „Benutzer und Gruppen“ aus, und fügen Sie sich sowie alle anderen Gruppen oder Benutzer, die Sie derzeit zuweisen möchten, der Administratorrolle hinzu.

  3. Öffnen Sie Superset und überprüfen Sie die Anmeldung.

    1. Melden Sie sich von Superset ab und melden Sie sich erneut an.

    2. Wählen Sie oben rechts „Einstellungen“ und dann „Profil“ aus.

    3. Stellen Sie sicher, dass Sie über die Administratorrolle verfügen.

      Screenshot, der zeigt, dass die Admin-Rolle in Superset im Profil gekennzeichnet ist.

Nächste Schritte